Nehmen Sie Ihre Rechte wahr - Artikel 22 - schützen Sie sich vor automatisierter Entscheidungsfindung!

Wussten Sie, dass die DSGVO Ihre personenbezogenen Daten auch davor schützt, zu Unrecht einer automatisierten Entscheidung unterworfen zu werden? Wenn Sie denken, dass dies für eine Entscheidung, die über Sie getroffen wurde, relevant sein könnte (z. B. eine Bank, die eine Hypothek verweigert oder Ihre Mitgliedschaft im Fitnessstudio ablehnt), oder wenn Sie mehr wissen möchten, lesen Sie weiter, um herauszufinden, wie Sie Ihr Recht auf Schutz vor automatisierten Entscheidungen ausüben können..

Diese Seite wurde leider nur automatisiert auf Deutsch übersetzt. Sie können auch zum englischen Original wechseln.

Ihr Recht, vor automatisierter Entscheidungsfindung geschützt zu werden!

Was ist automatisierte Entscheidungsfindung?

Automatisierte Entscheidungsfindung (oder ADM) ist das Treffen von Entscheidungen durch technologische Mittel, wie zum Beispiel einen Algorithmus oder Computer. Die GDPR verbietet es, dass Einzelpersonen Entscheidungen unterworfen werden, die "ausschließlich auf einer automatisierten Verarbeitung beruhen". Das bedeutet, dass Unternehmen, Behörden und andere Stellen unter bestimmten Umständen keine Entscheidungen über Personen treffen dürfen, die nur mit Hilfe von Technologie und ohne menschliches Zutun getroffen werden

Die Daten, die in ADM verwendet werden, können auf unterschiedliche Weise erhoben werden: Die Daten können direkt von den Personen zur Verfügung gestellt werden, z. B. über einen Fragebogen, durch die Beobachtung von Personen, die Erhebung von Standortdaten von einer App auf Ihrem Telefon oder durch die Ableitung von Daten aus einem Profil, das Sie bereits erstellt haben oder das über Sie erstellt wurde

Einige Beispiele für Fälle, in denen Sie von ADM betroffen sein könnten: Ihre Bank lehnt einen Kredit aufgrund eines Algorithmus in einem Computerprogramm ab, ein Telekommunikationsanbieter nimmt Sie nicht als Kunden an, weil eine Bonitätsauskunftei ein negatives Ergebnis über Sie geliefert hat, oder der Betreiber einer Plattform wird durch einen Algorithmus sanktioniert, weil er mehrere Anfragen abgelehnt hat.

ADM ist nicht mit Profiling zu verwechseln. Beim Profiling werden personenbezogene Daten verarbeitet, um persönliche Aspekte, z. B. Eigenschaften oder Verhaltensmuster von Personen, zu bewerten. Dies geschieht oft, um Personen in bestimmte Kategorien einzuordnen, um ihr Verhalten weiter zu analysieren oder vorherzusagen. Profiling führt nicht immer zu ADM, und ADM wird nicht immer auf der Grundlage von Profiling durchgeführt

Schritt 1: Identifizieren Sie das Recht, das Sie ausüben möchten

Schritt 2: Controller-Kontaktdetails

Schritt 3: Verfassen Sie Ihre Anfrage

Schritt 4: Antwort des Verantwortlichen

Schritt 5: Was ist, wenn der für die Verarbeitung Verantwortliche meine Anfrage ablehnt?

In welchen Fällen ist es verboten, ADM zu verwenden, um Entscheidungen über mich zu treffen?

Das Recht, vor ADM geschützt zu werden, unterscheidet sich etwas von den anderen Rechten der betroffenen Person in der DSGVO, da es einen Schutz beinhaltet, der unabhängig davon besteht, ob eine Person eine Anfrage an den Verantwortlichen stellt oder eine Klage erhebt. Dieses Recht verbietet die Verwendung von ADM.

Die Verwendung von ADM ist verboten, wenn:

Die Entscheidung beruht ausschließlich auf einer automatisierten EntscheidungDies sind in der Regel Situationen, in denen die Entscheidung ohne menschliches Eingreifen getroffen wird. Das menschliche Eing reifen muss von jemandem kommen, der die Autorität und Kompetenz hat, die Entscheidung gegebenenfalls zu ändern. Ein für die Verarbeitung Verantwortlicher kann nicht versuchen, das Verbot zu umgehen, indem er eine minimale oder sehr lockere menschliche Beteiligung vortäuscht
Die Entscheidung erzeugt rechtliche Auswirkungen oder ähnliche signifikante Auswirkungen
- Rechtliche Auswirkungen sind Ergebnisse, die die rechtlichen Rechte oder den rechtlichen Status einer Person beeinflussen. Dazu könnte gehören, dass ein Vertrag gekündigt wird, dass Leistungen oder bestimmte Rechte verweigert werden, wie z. B. Klagen oder Wählen, oder dass eine Änderung der Staatsbürgerschaft oder des Familienstandes abgelehnt wird
- Ähnliche erhebliche Auswirkungen bedeuten Auswirkungen mit einer vergleichbaren Schwere wie die oben genannten rechtlichen Auswirkungen. Dazu könnte gehören, dass ein Online-Kreditantrag abgelehnt wird, dass Sie einem E-Recruiting-Prozess ohne menschliches Eingreifen unterzogen werden, dass Sie keinen Zugang zu Gesundheitsdiensten oder Bildung haben, dass Ihnen Beschäftigungsmöglichkeiten verweigert werden oder dass Sie in einem dieser Prozesse diskriminiert werden

Gibt es Ausnahmen von diesem Verbot?

Ja. Wenn bestimmte Rechtsgrundlagen für die Verarbeitung verwendet werden, dann gibt es kein Verbot der Entscheidungsfindung nur mit ADM.

Verantwortliche können ADM ohne menschliches Zutun nur dann verwenden, wenn :

Die Entscheidung ist notwendig, um einen Vertrag zu erfüllen;
Die Entscheidung ist nach EU- oder nationalem Recht zulässig, z. B. bei Betrug oder Steuerhinterziehung;
Sie ausdrücklich zugestimmt haben, einer solchen Entscheidung zu unterliegen;

ADM sollte keine besonderen Datenkategorien ("sensible Daten")einbeziehen, außer unter bestimmten Umständen und vorbehaltlich von Sicherheitsvorkehrungen

Wenn Sie sich nicht sicher sind, auf welcher Rechtsgrundlage Ihre personenbezogenen Daten verarbeitet werden oder welche Daten für eine ADM verarbeitet werden, können Sie einen Antrag auf Auskunft an den für die Verarbeitung Verantwortlichen stellen. Diese sind gesetzlich verpflichtet, Ihnen diese Informationen zur Verfügung zu stellen

Gibt mir die GDPR irgendwelche Rechte, die ich in Bezug auf ADM ausüben kann?

Ja! Aufgrund des automatischen Schutzes vor ADM durch die GDPR haben Sie das Recht, bestimmte Informationen zu erhalten und haben Anspruch auf mehrere Schutzmaßnahmen.

Informationen. In Fällen, in denen ein ADM vorliegt, haben Sie ein Recht auf die folgenden Informationen

eineaussagekräftige Erklärung darüber, wie die Entscheidung getroffen wurde, wie z. B. die beteiligte Logik und die Daten, die zur Entscheidungsfindung verwendet wurden
die Bedeutung der Verarbeitung: Der für die Verarbeitung Verantwortliche muss erklären, warum die Entscheidung getroffen wurde und die Gründe für die Schlussfolgerung darlegen;
die für Sie vorgesehenen Folgen der Verarbeitung, d.h. was der Verantwortliche mit den Ergebnissen der ADM zu tun gedenkt.

Sicherheitsvorkehrungen Wenn ein für die Verarbeitung Verantwortlicher Ihre personenbezogenen Daten für ADM unter einer der oben genannten Ausnahmen verarbeitet, dann ist er verpflichtet, bestimmte Sicherheitsvorkehrungen zu treffen und Ihnen einige Rechte einzuräumen:

Das Recht, ein menschliches Eingreifen zu erwirken (z. B. sollte ein Mensch mit echter Macht, die Entscheidung zu ändern, eingreifen);
Das Recht, Ihren Standpunkt zu äußern (z. B. sollte sich eine Person die Argumente gegen die Entscheidung anhören);
Das Recht, eine Erklärung zu erhalten (z. B. sollte ein Mensch erklären, wie die Entscheidung zustande gekommen ist);
Das Recht, die Entscheidung anzufechten (der Mensch, der eingreift, muss sich Ihren Standpunkt anhören und die Entscheidung bestätigen oder auf der Grundlage Ihrer Argumente ändern).

Wie kann ich diese Rechte ausüben?

Schritt 1: Identifizieren Sie das Recht, das Sie ausüben möchten

Wenn Sie sich nicht sicher sind, welches Recht Sie ausüben wollen, können Sie zunächst einen Antrag auf Auskunft stellen, um eine bessere Vorstellung davon zu bekommen, was der für die Verarbeitung Verantwortliche mit Ihren personenbezogenen Daten macht. Dies kann Ihnen helfen zu entscheiden, was Sie als nächstes tun wollen. Informieren Sie in einem solchen Fall den Verantwortlichen, dass Sie Informationen suchen, die die Rechtsgrundlage für die Verarbeitung und das Vorliegen von ADM sowie die Logik, Bedeutung und Folgen dieser Verarbeitung bestätigen
Wenn Sie der Meinung sind, dass Sie trotz des Verbots einer ADM unterworfen wurden, können Sie den Verantwortlichen auffordern, die Verwendung einer ADM einzustellen (folgen Sie Schritt 2 unten) oder eine Beschwerde bei einer Datenschutzbehörde einreichen
Um Ihr Recht auf Schutzmaßnahmen bei rechtmäßiger Verwendung von ADM auszuüben, befolgen Sie die unten stehenden Schritte

Schritt 2: Kontaktdaten des Controllers

Ihre antrag auf Einschränkung der Verarbeitung Ihrer Daten sollte an den für die Verarbeitung Verantwortlichen (die Organisation/Einrichtung/Verwaltung/Firma, die Ihre Daten verarbeitet) gerichtet werden

Dies kann per E-Mail, Brief, Fax oder über ein Formular geschehen, solange Sie eine schriftliche Aufzeichnung der Anfrage haben

Die entsprechende E-Mail-Adresse finden Sie in der Regel in der Rubrik "Datenschutz" oder "Kontakt" auf der Website des für die Verarbeitung Verantwortlichen. Sie trägt in der Regel einen Namen wie privacy@company.com oder legal@publicauthority.eu. Wenn diese schwer zu finden ist oder wenn es keine spezifische Adresse gibt, an die Sie Ihre Anfrage senden können, ist das der Fehler des für die Verarbeitung Verantwortlichen, nicht Ihrer - die DSGVO verlangt von den für die Verarbeitung Verantwortlichen, diese Informationen leicht zugänglich zu machen. Wenn es keine spezifische E-Mail-Adresse gibt, können Sie die allgemeinen Kontaktinformationen des für die Verarbeitung Verantwortlichen verwenden.

Schritt 3: Entwerfen Sie Ihre Anfrage

Geben Sie an, dass Sie um eine Bestätigung bitten, dass Ihre personenbezogenen Daten für ADM-Zwecke verwendet werden und welche Schutzmaßnahmen Sie in Bezug auf die ADM in Anspruch nehmen möchten Ein Beispiel für einen Satz der die schutzmaßnahmen könnte folgendermaßen lauten "Gemäß meinen Rechten als betroffene Person nach Artikel 22 der Verordnung (EU) 2016/679 versuche ich, ein menschliches Eingreifen in Bezug auf die Entscheidung zu erwirken/ihren Standpunkt darzulegen/ die Entscheidung anzufechten und aus welchen Gründen/eine Erklärung zu der Entscheidung zu erhalten." Sie können mehrere oder nur eines dieser Rechte angeben.
Geben Sie Ihrennamen oder eine andere von dem für die Verarbeitung Verantwortlichen verwendete Kennung(z.B. ein Kontoname)Damit der für die Verarbeitung Verantwortliche Ihre Anfrage effizienter bearbeiten kann, sollten Sie einigeInformationenangeben, die zur Identifizierung Ihres Kontos beitragen, z. B. Ihre Telefonnummer (falls Sie diese bei der Anmeldung angegeben haben), Ihren Benutzernamen oder Kontonamen oder Ihre IP-Adresse. Dies ist besonders hilfreich, wenn Sie einen gemeinsamen Vor- und Nachnamen haben.
Fügen Sie das Datumin den Text ein, wenn Sie Ihre Anfrage in einer Anlage zur E-Mail oder in einem Brief stellen. Dies verdeutlicht die Frist für die Bereitstellung der Informationen durch den Controller.

Schritt 4: Antwort des Verantwortlichen

Sobald der für die Verarbeitung Verantwortliche Ihre Anfrage erhalten hat, hat er einenMonat Zeit, um zu antworten. Diese Frist kann nur einmal um maximal zwei weitere Monate verlängert werden, wenn es sich um komplexe oder mehrfache Anfragen handelt

Der für die Verarbeitung Verantwortliche kann Sie um zusätzliche Informationen bitten , um im Zweifelsfall Ihre Identität zu bestätigen. Eine solche Anfrage sollte jedoch auf die zusätzlichen Informationen beschränkt sein, die notwendig sind, um zu bestätigen, wer Sie sind. Die zusätzlichen Informationen dürfen nicht unverhältnismäßig sein, wenn man den Kontext der Verarbeitung Ihrer Daten berücksichtigt (z. B. wäre es unverhältnismäßig, wenn ein Geschäft Sie um eine Kopie Ihres Reisepasses bittet, um die Adresse einer Kundenkarte zu ändern)

Im Allgemeinen müssen Ihnen diese Informationen schriftlich zur Verfügung gestellt werden, aber sie können Ihnen auch auf elektronischem Wege, z. B. per E-Mail, mitgeteilt werden, oder sie können mündlich erteilt werden, wenn Sie dies wünschen.

Schritt 5: Was ist, wenn der für die Verarbeitung Verantwortliche meine Anfrage ablehnt?

Wenn der für die Verarbeitung Verantwortliche:

ihre Anfrage ohne zufriedenstellende Erklärung ablehnt,
versucht, Ihnen ungerechtfertigt Gebühren für Ihre Anfrage zu berechnen,
nach einem Monat oder nach Ablauf der verlängerten Frist (insgesamt maximal 3 Monate) nicht antwortet,

sind Sie berechtigt, eine Beschwerde bei einer Datenschutzbehörde einzureichen (z. B. bei der Datenschutzbehörde Ihres Wohn- oder Arbeitsortes), und der Verantwortliche sollte Sie darüber informieren

Wenn Sie Unterstützung bei der Beurteilung der rechtlichen Elemente der Antwort eines für die Verarbeitung Verantwortlichen benötigen, können Sie uns kontaktieren unterinfo@noyb.euum weitere Schritte zu besprechen.

Zurück zu Ausübung Ihrer Rechte

Unterstütze uns!

noyb Finanzierungsziel

74.26 %

Jetzt unterstützen

Follow us!

Media Coverage

U.S. tech giant Meta has been hit with a record €1.2 billion fine for not complying with the EU’s privacy rulebook.

Apple hits back at European activist complaints against tracking tool

An Austrian privacy advocacy group drew a strongly critical response from Apple on Monday after it said an online tracking tool used in its devices breached European law.

101 Unternehmen leiten noch immer Daten an die USA weiter

Der Datenschutz-Verein noyb brachte 101 Beschwerden gegen den Datentransfer in die USA ein.

ZDF Magazin Royale vom 10. Dezember 2021

Expertentalk mit Datenschützer und Facebookbezwinger Max Schrems

Irish regulator proposes 36 mln euro Facebook privacy fine - document

The complaint, lodged by Austrian privacy activist Max Schrems, concerned the lawfulness of Facebook's processing of personal data, specifically around its terms of service.